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Az Európai Adatvédelmi Testület 


a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen 
adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. 
április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet 70. cikke (1) bekezdésének e) pontja 
értelmében 


ELFOGADTA A KÖVETKEZŐ IRÁNYMUTATÁSOKAT 


1 1. RÉSZ — BEVEZETÉS: 


1.1 Háttér 


Az Európai Unió Alapjogi Chartájának 8. cikke értelmében a személyes adatokat csak tisztességesen és 
jóhiszeműen, meghatározott célokra és a törvényben rögzített jogos okból lehet kezelni. E tekintetben 
az általános adatvédelmi rendelet! (GDPR) 6. cikkének (1) bekezdése előírja, hogy a személyes adatok 
kezelése kizárólag a 6. cikk (1) bekezdésének a)-f) pontjában meghatározott hat feltétel egyike alapján 
jogszerű. Az adatkezelés céljának és lényegének megfelelő jogalap meghatározása alapvető 
fontosságú. Az adatkezelőknek a megfelelő jogalap méltányosság elvének tiszteletben tartása 
érdekében történő meghatározása során többek között figyelembe kell venniük az érintettek jogaira 
gyakorolt hatást. 


Az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontja annyiban biztosít jogalapot a 
személyes adatok kezeléséhez, amennyiben „az adatkezelés olyan szerződés teljesítéséhez szükséges, 
amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére 
történő lépések megtételéhez szükséges".? Ez támogatja a vállalkozás Charta 16. cikkében biztosított 
szabadságát, és tükrözi azt a tényt, hogy az érintettre vonatkozó szerződéses kötelezettségek néha 
nem hajthatók végre anélkül, hogy az érintett ne adná meg személyes adatait. Ha a különleges 
adatkezelés a kért szolgáltatásnyújtás szerves részét képezi, akkor mindkét félnek érdekében áll az 
adatok kezelése, mivel ellenkező esetben a szolgáltatás nem biztosítható, és a szerződést nem lehetett 
teljesíteni. Az erre vagy a 6. cikk (1) bekezdésében említett további jogalapok egyikére való hivatkozás 
lehetősége azonban nem mentesíti az adatkezelőt az általános adatvédelmi rendelet egyéb 
követelményeinek való megfelelés alól. 


Az Európai Unió működéséről szóló szerződés 56. és 57. cikke meghatározza és szabályozza az Európai 
Unión belüli szolgáltatásnyújtás szabadságát. Konkrét uniós jogalkotási intézkedéseket fogadtak el az 
„információs társadalommal összefüggő szolgáltatások” tekintetében.? E szolgáltatások „általában 
térítés ellenében, távolról, elektronikus úton és a szolgáltatást igénybe vevő egyéni kérelmére nyújtott 
szolgáltatások". Ez a meghatározás olyan szolgáltatásokat is magában foglal, amelyekért nem 
közvetlenül az igénybe vevők fizetnek," mint például a reklámozáson keresztül finanszírozott online 


1 Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok 
kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül 
helyezéséről (általános adatvédelmi rendelet) 

2 Lásd még a (44) preambulumbekezdést. 

3 Lásd például a (EU) 2015/1535 európai parlamenti és tanácsi irányelvet és az általános adatvédelmi rendelet 8. cikkét. 

4 Lásd a belső piacon az információs társadalommal összefüggő szolgáltatások, különösen az elektronikus kereskedelem egyes 
jogi vonatkozásairól szóló, 2000. június 8-i 2000/31/EK európai parlamenti és tanácsi irányelv (18) preambulumbekezdését. 
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szolgáltatásokat. Az ebben az iránymutatásban használt , online szolgáltatások" kifejezés az 
„információs társadalommal összefüggő szolgáltatásokra" vonatkozik. 


Az uniós jog fejlődése tükrözi az online szolgáltatások modern társadalomban betöltött központi 
jelentőségét. A mindig bekapcsolt mobilinternet elterjedése és az internethez csatlakoztatott eszközök 
széles körű rendelkezésre állása lehetővé tette az online szolgáltatások fejlesztését olyan területeken, 
mint a közösségi média, az e-kereskedelem, az internetes keresés, a kommunikáció és az utazás. Míg 
e szolgáltatások egy részét a felhasználók fizetéséből finanszírozzák, más szolgáltatásokat a fogyasztó 
pénzbeli ellenszolgáltatása nélkül, az érintettek megszólítását lehetővé tevő online hirdetési 
szolgáltatások értékesítésén keresztül finanszírozzák. A felhasználói magatartás ilyen reklámozás 
céljából történő nyomon követése gyakran olyan módon valósul meg, amelyről a felhasználónak 
sokszor nincs tudomása," és amely elsőre nem következik egyértelműen a nyújtott szolgáltatás 
jellegéből, ami gyakorlatilag lehetetlenné teszi, hogy az érintett tájékozottan döntsön saját adatainak 
felhasználásáról. 


Mindezek alapján az Európai Adatvédelmi Testület" szükségesnek tartja, hogy iránymutatást adjon a 
6. cikk (1) bekezdése b) pontjának személyes adatok online szolgáltatások keretében történő 
kezelésére való alkalmazhatóságáról annak biztosítása érdekében, hogy erre a jogalapra csak indokolt 
esetben hivatkozzanak. 


A 29. cikk alapján létrehozott munkacsoport (a továbbiakban: a 29. cikk szerinti munkacsoport) a 
szerződéshez való szükségesség 95/46/EK irányelv szerinti jogalapjáról korábban véleményt 
nyilvánított az adatkezelő jogszerű érdekeinek fogalmáról szóló véleményében." Ez az iránymutatás 
általánosságban továbbra is az általános adatvédelmi rendeletet 6. cikke (1) bekezdésének b) pontjára 
vonatkozik. 


1.2 Ezen iránymutatás alkalmazási köre 


Ez az iránymutatás a 6. cikk (1) bekezdése b) pontjának a személyes adatok online szolgáltatásokra 
vonatkozó szerződésekkel összefüggésben történő kezelése tekintetében való alkalmazhatóságára 
vonatkozik, függetlenül attól, hogy a szolgáltatásokat hogyan finanszírozzák. Az iránymutatás felvázolja 
az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontja szerinti jogszerű adatkezelés 
elemeit, és górcső alá veszi a , szükségesség" fogalmát, mivel az „a szerződés teljesítéséhez szükséges” 
megfogalmazásra vonatkozik. 


Az adatvédelmi szabályok az online szolgáltatások és a felhasználóik közötti kapcsolat fontos 
szempontjaira vonatkoznak, ugyanakkor más szabályokat is alkalmazni kell. Az online szolgáltatások 
szabályozása többek között a fogyasztóvédelmi jog és a versenyjog területén több átfogó feladatot is 
magában foglal. Az e jogterületekkel kapcsolatos megfontolások nem tartoznak ezen iránymutatás 
hatálya alá. 


Bár a 6. cikk (1) bekezdésének b) pontja csak szerződéses összefüggésben alkalmazható, ez az 
iránymutatás általában nem foglal állást az online szolgáltatásokra vonatkozó szerződések 
érvényességével kapcsolatban, mivel ez kívül esik az Európai Adatvédelmi Testület hatáskörén. 
Mindazonáltal a szerződéseknek és a szerződési feltételeknek meg kell felelniük a szerződési jog, és — 


5 E tekintetben az adatkezelőknek teljesíteniük kell az általános adatvédelmi rendeletben meghatározott átláthatósági 
kötelezettségeket. 

6 Az általános adatvédelmi rendelet 68. cikke alapján jött létre. 

7 A 29. cikk szerinti munkacsoportnak az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű érdekeinek fogalmáról szóló 
06/2014 számú véleménye (WP217). Lásd különösen a 11., 16., 17., 18. és 55. oldalt. 


10. 


11. 


12. 


13. 


adott esetben, fogyasztói szerződések esetén — fogyasztóvédelmi jogszabályok követelményeinek 
annak érdekében, hogy az e feltételek alapján történő adatkezelés tisztességes és jogszerű legyen. 


Az útmutató az alábbiakban tartalmazza az adatvédelmi elvekre vonatkozó egyes általános 
észrevételeket, azonban nem kerül sor az összes, a 6. cikk (1) bekezdésének b) pontja szerinti 
adatkezelés során esetlegesen felmerülő adatvédelmi kérdés elemzésére. Az adatkezelőknek mindig 
gondoskodniuk kell arról, hogy megfeleljenek az 5. cikkben meghatározott adatvédelmi elveknek, 
valamint az általános adatvédelmi rendelet és — adott esetben - az elektronikus hírközlési adatvédelmi 
jogszabályok valamennyi egyéb követelményének. 


2 2. RÉSZ — A 6. CIKK (1) BEKEZDÉSE B) PONTJÁNAK ELEMZÉSE 


2.1 Általános észrevételek 


A 6. cikk (1) bekezdésének b) pontja alapján történő adatkezelés jogalapját az általános adatvédelmi 
rendelet egészének és az 1. cikkben meghatározott célkitűzések összefüggésében, valamint az 
adatkezelők azon kötelezettségével együtt kell figyelembe venni, hogy a személyes adatokat az 5. cikk 
szerinti adatvédelmi elveknek megfelelően kezeljék. Ez magában foglalja a személyes adatok 
tisztességes és átlátható módon történő kezelését is, összhangban a célhoz kötöttségre és az 
adattakarékosságra vonatkozó kötelezettségekkel. 


Az általános adatvédelmi rendelet 5. cikke (1) bekezdésének a) pontja előírja, hogy a személyes adatok 
kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni. A 
méltányosság elve magában foglalja többek között az érintettek észszerű elvárásainak? elismerését, 
figyelembe véve az adatkezelés rájuk nézve esetlegesen kedvezőtlen következményeit, valamint 
tekintettel a köztük és az adatkezelő között fennálló kapcsolatra és a közöttük lévő egyenlőtlenség 
esetleges hatásaira. 


Amint azt már említettük, ami a jogszerűséget illeti, az online szolgáltatásokra vonatkozó 
szerződéseknek az alkalmazandó szerződési jog értelmében érvényesnek kell lenniük. Releváns 
tényező például az, hogy az érintett gyermekkorú-e. Ebben az esetben (és az általános adatvédelmi 
rendelet követelményeinek, köztük a gyermekekre vonatkozó „különös védelemnek” való 
megfeleléstől eltekintve)? az adatkezelőnek biztosítania kell, hogy megfelel a gyermekek 
szerződéskötési képességére vonatkozó irányadó nemzeti jogszabályoknak. A tisztességesség és a 
jogszerűség elveinek való megfelelés biztosítása érdekében az adatkezelőnek továbbá egyéb jogi 
követelményeket is teljesítenie kell. Például fogyasztói szerződések esetén alkalmazható lehet a 
fogyasztókkal kötött szerződésekben alkalmazott tisztességtelen feltételekről szóló 93/13/EGK 


8 Egyes személyes adatok várhatóan magánjellegűek vagy azokat csak meghatározott módokon kezelik, az adatkezelés pedig 
nem lehet meglepetésszerű az érintettre nézve. Az általános adatvédelmi rendeletben az , észszerű elvárások" fogalmára 
különösen a 6. cikk (1) bekezdésének f) pontjával és (4) bekezdésével összefüggésben a (47) és (50) preambulumbekezdés 
hivatkozik. 

9 Lásd a (38) preambulumbekezdést, amely szerint a gyermekek személyes adatai különös védelmet érdemelnek, mivel ők 
kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz 
kapcsolódó garanciákkal és jogosultságokkal. 


14. 


15. 


16. 


17. 


irányelv (a tisztességtelen szerződési feltételekről szóló irányelv). A 6. cikk (1) bekezdésének b) pontja 
nem korlátozódik az EGT-tagállam joga alá tartozó szerződésekre. !! 


Az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) pontja a célhoz kötöttség elvét írja elő, 
amely szerint a személyes adatok gyűjtése csak meghatározott, egyértelmű és törvényes célból 
történhet, és azok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon. 


Az 5. cikk (1) bekezdésének c) pontja alapelvként rögzíti az adattakarékosságot, azaz a cél eléréséhez 
szükséges lehető legkevesebb adat kezelését. Ez az értékelés kiegészíti a szükségesség 6. cikk (1) 
bekezdésének b) pontja szerinti értékeléseit. 


Mind a célhoz kötöttség, mind pedig az adattakarékosság elve különösen fontos az online 
szolgáltatásokra vonatkozó szerződések esetében, amelyeket jellemzően nem egyénileg tárgyalnak 
meg. A technológiai fejlesztések lehetővé teszik az adatkezelők számára, hogy minden eddiginél 
könnyebben gyűjtsenek és kezeljenek személyes adatokat. Ennek eredményeként fennáll annak akut 
kockázata, hogy az adatkezelők esetleg általános adatkezelési feltételek szerződésekbe foglalására 
törekednek annak érdekében, hogy maximalizálják az adatok lehetséges gyűjtését és felhasználását 
anélkül, hogy e célokat megfelelően meghatároznák, vagy, hogy figyelembe vennék az 
adattakarékossági kötelezettségeket. A 29. cikk szerinti munkacsoport korábban kijelentette: 


Az adatgyűjtés célját egyértelműen és konkrétan meg kell határozni: elég részletesnek kell 
lennie ahhoz, hogy meg lehessen határozni, hogy az adatkezelés milyen jellegű és hogy nem 
felel meg a meghatározott célnak, valamint lehetővé kell tennie, hogy a jogszabályoknak való 
megfelelés értékelhető legyen, és az adatvédelmi biztosítékokat alkalmazni lehessen. Ezen 
okokból a homályos vagy általános cél, mint például a , felhasználói élmény javítása", 


„marketing célok", „informatikai biztonsági célok” vagy „jövőbeli kutatás" — további részletek 
nélkül — általában nem felel meg az , egyediség" kritériumainak. 1! 


2.2 A6. cikk (1) bekezdése b) pontjának kapcsolata az adatkezelés egyéb jogalapjával 


Amennyiben az adatkezelés nem , szükséges a szerződés teljesítéséhez", azaz amikor a kért szolgáltatás 
a konkrét adatkezelés nélkül nyújtható, az Európai Adatvédelmi Testület elismeri, hogy egy másik 
jogalap is alkalmazható, feltéve, hogy teljesülnek vonatkozó feltételek. Bizonyos körülmények között 
különösen a 6. cikk (1) bekezdésének a) pontja szerinti önkéntes hozzájárulásra való hivatkozás lehet 
helyénvalóbb. Más esetekben a 6. cikk (1) bekezdésének f) pontja biztosíthat megfelelőbb jogalapot az 
adatkezeléshez. A jogalapot az adatkezelés megkezdésekor kell azonosítani, és az érintettek számára 
a 13. és 14. cikkel összhangban rendelkezésre bocsátott információknak meg kell határozniuk a 
jogalapot. 


10 Az egyedileg meg nem tárgyalt szerződési feltétel a tisztességtelen szerződési feltételekről szóló irányelv értelmében abban 
az esetben tekintendő tisztességtelennek, ,ha a jóhiszeműség követelményével ellentétben a felek szerződésből eredő 
jogaiban és kötelezettségeiben jelentős egyenlőtlenséget idéz elő a fogyasztó kárára". Az általános adatvédelmi rendeletben 
foglalt átláthatósági kötelezettséghez hasonlóan a tisztességtelen szerződési feltételekről szóló irányelv is előírja a világos és 
közérthető megfogalmazást. A tisztességtelen szerződési feltételekről szóló irányelv értelmében tisztességtelennek minősülő 
feltételen alapuló személyes adatok kezelése általában nem lesz összhangban az általános adatvédelmi rendelet 5. cikke (1) 
bekezdésének a) pontjában foglalt azon követelménnyel, amely szerint a személyes adatok kezelése jogszerű és tisztességes. 
11 Az általános adatvédelmi rendelet egyes, az EGT-n kívüli adatkezelőkre vonatkozik; lásd az általános adatvédelmi rendelet 
3. cikkét. 

12 A 29. cikk szerinti munkacsoport 03/2013 számú véleménye a célhoz kötöttségről (WP203), 15—16. o. 


18. 


19. 


20. 


21. 


22. 


Lehetséges, hogy a 6. cikk (1) bekezdésének b) pontjában említettől eltérő jogalap jobban megfelel a 
szóban forgó adatkezelési művelet céljának és körülményeinek. A megfelelő jogalap azonosítása az 
igazságosság és a célhoz kötöttség elvéhez kapcsolódik. 1! 


A 29. cikk szerinti munkacsoport hozzájárulásra vonatkozó iránymutatása azt is egyértelművé teszi, 
hogy amennyiben ,az adatkezelő olyan személyes adatokat kíván kezelni, amelyek valóban 
szükségesek a szerződés teljesítéséhez, a hozzájárulás nem a megfelelő jogalap". Az Európai 
Adatvédelmi Testület ugyanakkor úgy véli, hogy amennyiben az adatkezelés valójában nem szükséges 
a szerződés teljesítéséhez, az ilyen adatkezelésre csak akkor kerülhet sor, ha az más megfelelő 
jogalapra támaszkodik. 


Az átláthatósági kötelezettségeiknek megfelelően az adatkezelőknek a félreértések elkerülése végett 
meg kell győződniük arról, hogy mi az alkalmazandó jogalap. Ez különösen akkor bír jelentőséggel, ha 
a megfelelő jogalap a 6. cikk (1) bekezdésének b) pontja, és az érintettek online szolgáltatásokról szóló 
szerződést kötnek. A körülményektől függően az a téves benyomás alakulhat ki az érintettekben, hogy 
a szerződés aláírásakor vagy a szolgáltatási feltételek elfogadásakor a 6. cikk (1) bekezdésének a) 
pontjával összhangban adják hozzájárulásukat. Egyidejűleg az adatkezelő tévesen feltételezheti, hogy 
a szerződés aláírása a 6. cikk (1) bekezdésének a) pontja értelmében vett hozzájárulásnak felel meg. 
Ezek teljesen eltérő fogalmak. Fontos különbséget tenni a szolgáltatási feltételek szerződés megkötése 
érdekében történő elfogadása, valamint a 6. cikk (1) bekezdésének a) pontja szerinti hozzájárulás 


megadása között, mivel ezek a fogalmak eltérő követelményekkel és jogi következményekkel járnak. 


A személyes adatok különleges kategóriáinak kezelése tekintetében a hozzájárulásra vonatkozó 
iránymutatásban a 29. cikk szerinti munkacsoport azt is megállapította, hogy: 


A 9. cikk (2) bekezdése nem ismeri el a , szerződés teljesítéséhez szükséges" kitételt az adatok 
különleges kategóriáinak kezelésére vonatkozó általános tilalom alóli kivételként. Ezért az ilyen 
helyzettel szembesülő adatkezelőknek és tagállamoknak meg kell vizsgálniuk a 9. cikk (2) 
bekezdésének b)-j) pontjában foglalt konkrét kivételeket. Amennyiben a b)-j) pontban foglalt 
kivételek egyike sem alkalmazandó, az adatkezelés alóli lehetséges jogszerű kivétel továbbra is 
kizárólag az általános adatvédelmi rendelet érvényes hozzájárulás megszerzésére vonatkozó 
feltételei szerinti kifejezett hozzájárulás megszerzése." 


2.3 A6. cikk (1) bekezdése b) pontjának hatálya 


A 6. cikk (1) bekezdésének b) pontja alkalmazandó, ha a következő két feltétel valamelyike teljesül: a 
szóban forgó adatkezelésnek objektíve szükségesnek kell lennie az érintettel kötött szerződés 
teljesítéséhez, vagy az adatkezelésnek objektíve szükségesnek kell lennie ahhoz, hogy az érintett 
kérésére a szerződéskötést megelőző lépéseket megtegyék. 


13 Amikor az adatkezelők a tisztességesség elvével összhangban megkísérlik meghatározni a megfelelő jogalapot, ezt nehéz 
lesz elérni, ha először nem azonosították egyértelműen az adatkezelés céljait, vagy ha a személyes adatok kezelése 
meghaladja a meghatározott célok eléréséhez szükséges mértéket. 

14 A 9. cikkhez kapcsolódó következményekre vonatkozó további információkért lásd a 29. cikk szerinti munkacsoport Európai 
Adatvédelmi Testület által jóváhagyott iránymutatását az (EU) 2016/679 rendelet szerinti hozzájárulásról (WP259), 19—20. 
oldal. 

15 A 29. cikk szerinti munkacsoport Európai Adatvédelmi Testület által jóváhagyott iránymutatása az (EU) 2016/679 rendelet 
szerinti hozzájárulásról (WP259), 19. oldal. 


23. 


24. 


25. 


26. 


2.4 Szükségesség 


Az adatkezelés szükségessége a 6. cikk (1) bekezdése b) pontja mindkét részének előfeltétele. 
Elöljáróban fontos megjegyezni, hogy a „szerződés teljesítéséhez szükséges” kitétel nem csupán annak 
értékelését jelenti, hogy a szerződés feltételei mit engednek meg, vagy írnak elő. A , szükségesség" 
esetében önálló uniós jogi fogalomról van szó, amelynek tükröznie kell az adatvédelmi jog 
célkitűzéseit!®. Ezért az magában foglalja a magánélethez és a személyes adatok védelméhez való 
alapvető jogok”, valamint az adatvédelmi elvek — köztük különösen a méltányosság elvének — 
figyelembevételét is. 


A kiindulási pont az adatkezelés céljának meghatározása, a szerződéses jogviszony keretében pedig 
különböző céljai lehetnek az adatkezelésnek. E célokat egyértelműen meg kell határozni és közölni kell 
az érintettel, összhangban az adatkezelő célhoz kötöttséggel és átláthatósággal kapcsolatos 
kötelezettségeivel. 


A ,szükséges" kitétel értékelése magában foglalja az adatkezelés összetett, tényeken alapuló 
értékelését , az elérni kívánt cél és annak érdekében, hogy ez kevésbé legyen beavatkozó jellegű az 
ugyanazon cél eléréséhez szükséges egyéb lehetőségekhez képest". Ha reális, kisebb beavatkozással 
járó alternatívák állnak rendelkezésre, akkor az adatkezelés nem , szükséges7.§9 A 6. cikk (1) 
bekezdésének b) pontja nem terjed ki az olyan adatkezelésre, amely hasznos, de objektíve nem 
szükséges a szerződéses szolgáltatás teljesítéséhez vagy az érintett kérésére a szerződéskötést 
megelőző megfelelő lépések megtételéhez, még akkor sem, ha az az adatkezelő egyéb üzleti céljaihoz 
szükséges. 


2.5 Az érintettel kötött szerződés teljesítéséhez szükséges 


Az adatkezelő a 6. cikk (1) bekezdése b) pontjának első fordulatára alapíthatja a személyes adatok 
kezelését, amennyiben az 5. cikk (2) bekezdése szerinti elszámoltathatósági kötelezettségeivel 
összhangban megállapítja, hogy az adatkezelésre az érintettel kötött érvényes szerződéssel 
összefüggésben kerül sor, valamint hogy az adatkezelés az érintettel kötött adott szerződés teljesítése 
érdekében szükséges. Ha az adatkezelők nem tudják bizonyítani, hogy a) szerződés fennáll, b) a 
szerződés az alkalmazandó nemzeti szerződési jog szerint érvényes, és c) az adatkezelés objektíve 
szükséges a szerződés teljesítéséhez, az adatkezelőnek meg kell fontolnia az adatkezelés egyéb 
jogalapját. 


16 Az Európai Unió Bírósága a Huber ítéletben megállapította, hogy „önálló közösségi jogi fogalomról [szükségességről] van 
szó, amelyet oly módon kell értelmezni, hogy az maradéktalanul megfeleljen ezen irányelv [95/46 irányelv] célkitűzésének, 
amint az annak 1. cikke (1) bekezdéséből következik". A Bíróság C-524/06 sz., Heinz Huber kontra Bundesrepublik Deutschland 
ügyben 2008. december 18-án hozott ítéletének 52. pontja. 

17 Lásd az Európai Unió Alapjogi Chartájának 7. és 8. cikkét. 

18 Lásd az európai adatvédelmi biztos — Eszköztár: A személyes adatok védelmére való alapvető jogot korlátozó intézkedések 
szükségességének értékelése, 5. oldal. 

19 A Schecke ügyben a Bíróság megállapította, hogy a személyes adatok kezelése szükségességének vizsgálatakor a 
jogalkotónak a kevésbé beavatkozó jellegű alternatív intézkedéseket kell figyelembe vennie. A Bíróság C-92/09. és C-93/09. 
sz., Volker und Markus Schecke GbR és Hartmut Eifert kontra Land Hessen egyesített ügyekben 2010. november 9-én hozott 
ítélete Ezt a Bíróság a Rīgas ügyben megismételte, amelyben megállapította, hogy „[a]z adatkezelés szükségességére 
vonatkozó feltételt illetően emlékeztetni kell arra, hogy a személyes adatok védelmének elve alóli kivételeknek és ezen elv 
korlátozásainak a feltétlenül szükséges határokon belül kell maradniuk". A Bíróság C-13/16 sz., Valsts policijas Rīgas reģiona 
pārvaldes Kārtības policijas pārvalde kontra Rīgas pašvaldības SIA ”īgas satiksme” ügyben hozott ítéletének 30. pontja. A 
személyes adatok kezelése tekintetében a feltétlen szükségességet kell vizsgálni a magánélethez és a személyes adatok 
védelméhez való jog gyakorlásának bármely korlátozásához (lásd az európai adatvédelmi biztos eszköztárát: A személyes 
adatok védelméhez való alapvető jogot korlátozó intézkedések szükségességének értékelése, 7. oldal) 


27. 


28. 


29. 


30. 


31. 


Az, hogy a szerződésben az adatkezelésre csupán hivatkoznak vagy azt csak megemlítik, nem elegendő 
ahhoz, hogy a szóban forgó adatkezelés a 6. cikk (1) bekezdése b) pontjának hatálya alá kerüljön. 
Másrészről viszont az adatkezelés objektíve szükséges lehet még akkor is, ha a szerződésben 
kifejezetten nem szerepel. Mindenesetre az adatkezelőnek teljesítenie kell átláthatósági 
kötelezettségeit. Amennyiben az adatkezelő annak megállapítására törekszik, hogy az adatkezelés az 
érintettel kötött szerződés teljesítésén alapul, fontos annak vizsgálata, hogy mi az, ami a szerződés 
teljesítéséhez objektíve szükséges. A , teljesítéshez szükséges" kitétel nyilvánvalóan többet igényel egy 
szerződési feltételnél. Ez a 7. cikk (4) bekezdésének fényében is egyértelmű. Bár ez a rendelkezés csak 
a hozzájárulás érvényességét érinti, igen jól példázza a szerződés teljesítéséhez szükséges adatkezelési 
tevékenységek és az olyan rendelkezések közötti különbséget, amelyek a szolgáltatást a szerződés 
teljesítéséhez valójában nem szükséges adatkezelési tevékenységektől teszik függővé. 


E tekintetben az Európai Adatvédelmi Testület támogatja a 29. cikk szerinti munkacsoport által 
korábban az előző irányelv azonos tartalmú rendelkezése tekintetében elfogadott iránymutatást, 
amely szerint , az érintettel kötött szerződés teljesítéséhez szükséges" kitételt: 


. szigorúan kell értelmezni, és nem vonatkozik olyan helyzetekre, amikor az adatkezelés 
valójában nem szükséges a szerződés teljesítéséhez, hanem azt az adatkezelő egyoldalúan az 
érintettre erőlteti. Ezen felül az, hogy egyes adatkezelési tevékenységeket szerződés fed, nem 
jelenti automatikusan azt, hogy az adatkezelés a szerződés teljesítéséhez szükséges. [...] Még 
ha ezek a kezelési tevékenységek kifejezetten szerepelnek is a szerződés apró betűs részében, 
ettől még nem lesznek , szükségesek" a szerződés teljesítéséhez.” 


Az Európai Adatvédelmi Testület is a 29. cikk szerinti munkacsoport ugyanezen iránymutatására 
emlékeztet, amely megállapítja, hogy: 


Egyértelmű kapcsolat van a szükségesség értékelése és a célhoz kötöttség elvének való 
megfelelés között. Fontos a szerződés pontos értelmének, vagyis a lényegének és alapvető 
céljának meghatározása, mivel ennek alapján fogják a szerződést abból a szempontból 
vizsgálni, hogy az adatkezelés szükséges-e a teljesítéséhez.?! 


Annak értékelésekor, hogy a 6. cikk (1) bekezdésének b) pontja megfelelő jogalapot jelent-e az online 
szerződéses szolgáltatás keretében történő adatkezeléshez, figyelembe kell venni a szolgáltatás 
konkrét célját, célkitűzését és tárgyát. A 6. cikk (1) bekezdése b) pontjának alkalmazhatósága 
érdekében fontos, hogy az adatkezelés objektíve szükséges legyen a szerződéses szolgáltatás érintett 
részére történő teljesítésének szerves részét képező cél eléréséhez. Nem zárható ki a fizetési adatok 
szolgáltatás kiszámlázása érdekében történő kezelése. Az adatkezelőnek be kell tudnia mutatni, hogy 
az érintettel kötött adott szerződés fő tárgya miként nem hajtható végre ténylegesen, ha a szóban 
forgó személyes adatok konkrét kezelése nem történik meg. A fontos kérdés itt a személyes adatok és 
az érintett adatkezelési műveletek közötti kapcsolat, valamint a szerződés alapján nyújtott szolgáltatás 
teljesítése vagy nem teljesítése. 


A digitális szolgáltatásokra vonatkozó szerződések tartalmazhatnak olyan kifejezett rendelkezéseket, 
amelyek további feltételeket szabnak többek között a reklámozás, a fizetések vagy a sütik 
tekintetében. A szerződés nem bővítheti mesterségesen a személyes adatok kategóriáit vagy azon 
adatkezelési műveletek típusainak körét, amelyeket az adatkezelőnek a 6. cikk (1) bekezdésének b) 
pontja értelmében a szerződés teljesítése érdekében el kell végeznie. 


20 A 29. cikk szerinti munkacsoport 06/2014. számú véleménye az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű 
érdekeinek fogalmáról (WP217), 16-17. o. 
21 Uo., 17. o. 
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32. 


33. 


34. 


35; 


Az adatkezelőnek az alapvető és a kölcsönösen elfogadott szerződéses célra hivatkozva tudnia kell 
igazolni az adatkezelés szükségességét. Ez nem csak az adatkezelő szempontjától, hanem a szerződés 
megkötésekor az általában elvárható módon eljáró érintett szempontjától is függ, valamint attól, hogy 
a szerződés a szóban forgó adatkezelés nélkül is , teljesítettnek" tekinthető-e. Bár az adatkezelő úgy 
ítélheti meg, hogy az adatkezelés a szerződéses cél érdekében szükséges, fontos, hogy alaposan 
vizsgálják meg az átlagos érintett szempontjait annak biztosítása érdekében, hogy a szerződéses cél 
tekintetében valódi kölcsönös egyetértés alakuljon ki. 


Annak értékeléséhez, hogy a 6. cikk (1) bekezdésének b) pontja alkalmazható-e, a következő kérdések 
lehetnek irányadóak: 


e Milyen jellegű szolgáltatást nyújtanak az érintett részére? Melyek e szolgáltatás 
megkülönböztető sajátosságai? 


e Mia szerződés pontos indoka (azaz annak tartalma és alapvető tárgya)? 
e Melyek a szerződés alapvető elemei? 


e Melyek a szerződéses felek kölcsönös szempontjai és elvárásai? Hogyan hirdetik vagy 
reklámozzák a szolgáltatást az érintett felé? A szolgáltatás átlagos igénybe vevője 
észszerűen elvárhatná-e, hogy a szolgáltatás jellegét figyelembe véve a tervezett 
adatkezelésre annak a szerződésnek a teljesítése érdekében kerüljön sor, amelynek részes 
fele? 


Ha a , szerződés teljesítéséhez szükséges" mérték értékelése — amelyet az adatkezelés megkezdése 
előtt kell elvégezni — azt mutatja, hogy a tervezett adatkezelés meghaladja a szerződés teljesítéséhez 
objektíve szükséges mértéket, az önmagában nem teszi jogellenessé az ilyen jövőbeli adatkezelést. 
Amint az már említésre került, a 6. cikk egyértelművé teszi, hogy esetlegesen más jogalapok is 
rendelkezésre állnak az adatkezelés megkezdése előtt.?? 


Ha egy szolgáltatás élettartama alatt olyan új technológia kerül bevezetésre, amely megváltoztatja a 
személyes adatok kezelésének módját, vagy a szolgáltatás egyéb módon változik, a fenti kritériumokat 
újra meg kell vizsgálni annak megállapítása érdekében, hogy az új vagy módosított adatkezelési 
műveletek alapulhatnak-e a 6. cikk (1) bekezdésének b) pontján. 








1. példa 


Az érintett árukat vásárol egy online kiskereskedőtől. Az érintett hitelkártyával szeretne fizetni, és azt 
szeretné, hogy a termékeket a lakcímére szállítsák ki. A szerződés teljesítése érdekében a 
kiskereskedőnek kezelnie kell az érintett hitelkártya-adatait és számlázási címét a fizetés céljából, 
valamint az érintett lakcímét az áru kiszállítása céljából. Így ezen adatkezelési tevékenységek 
jogalapjaként a 6. cikk (1) bekezdésének b) pontját kell alkalmazni. 


Ha azonban a vevő az átvételi pontra történő szállítást választotta, az érintett lakcímének kezelése már 
nem szükséges az adásvételi szerződés teljesítéséhez. Ebben az összefüggésben az érintett lakcímének 
bármilyen módon történő kezeléséhez a 6. cikk (1) bekezdésének b) pontjától eltérő jogalap szükséges. 


22 Lásd a 29. cikk szerinti munkacsoport Európai Adatvédelmi Testület által jóváhagyott iránymutatását az (EU) 2016/679 
rendelet szerinti hozzájárulásról (WP259), 31. oldal, amelyben megállapításra került, hogy: , Az általános adatvédelmi 
rendelet szerint az egyik jogszerű alapról egy másikra való áttérés nem lehetséges." 
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36. 


37. 


38. 





2. példa 


Ugyanez az online kiskereskedő a felhasználókról a weboldalon tett látogatásaik alapján az ízlésükre 
és életmódjukra vonatkozó profilt szeretné alkotni. Az adásvételi szerződés teljesítése nem függ az 
ilyen profilok megalkotásától. Még ha a profilalkotást a szerződés kifejezetten említi is, ez a tény 
önmagában nem teszi azt , szükségessé" a szerződés teljesítéséhez. Ha az online kiskereskedő ilyen 
profilalkotást kíván végezni, ehhez eltérő jogalapra van szüksége. 





A szerződési jog és adott esetben a fogyasztói jog határain belül az adatkezelők szabadon alakíthatják 
üzleti tevékenységüket, szolgáltatásaikat és szerződéseiket. Néhány esetben előfordulhat, hogy az 
adatkezelő több különálló szolgáltatást vagy egy szolgáltatás eltérő alapvető céllal, jellemzőkkel vagy 
indokkal rendelkező részeit kívánja egyetlen szerződésbe foglalni. Ez ,kell vagy nem kell" helyzetet 
teremthet azon érintettek számára, akik csak az egyik szolgáltatás iránt érdeklődnének. 


Az adatvédelmi jog értelmében az adatkezelőknek figyelembe kell venniük, hogy a tervezett 
adatkezelési tevékenységeknek megfelelő jogalappal kell rendelkezniük. Amennyiben a szerződés több 
különálló szolgáltatásból vagy egy szolgáltatás különálló elemeiből áll, amelyeket észszerűen 
egymástól ténylegesen függetlenül is teljesíteni lehet, felmerül a kérdés, hogy a 6. cikk (1) 
bekezdésének b) pontja mennyiben szolgálhat jogalapként. A 6. cikk (1) bekezdése b) pontjának 
alkalmazhatóságát az egyes szolgáltatások összefüggésében külön-külön kell értékelni, megvizsgálva, 
hogy mi az, ami objektíve szükséges az érintett által tevőlegesen kért vagy igénybe vett egyes 
szolgáltatások teljesítéséhez. Ezen értékelés során kiderülhet, hogy egyes adatkezelési tevékenységek 
nem az érintett által kért egyedi szolgáltatások elvégzéséhez, hanem inkább az adatkezelő tágabb 
üzleti modelljéhez szükségesek. Ebben az esetben a 6. cikk (1) bekezdésének b) pontja nem fog 
jogalapul szolgálni e tevékenységekhez. Az adatkezeléshez azonban más jogalapok — például a 6. cikk 
(1) bekezdésének a) vagy f) pontja — is rendelkezésre állhatnak, feltéve, hogy teljesülnek a vonatkozó 
feltételek. Ezért a 6. cikk (1) bekezdése b) pontja alkalmazhatóságának értékelése önmagában nem 
befolyásolja a szerződés jogszerűségét vagy a szolgáltatások összekapcsolását. 


Amint azt a 29. cikk szerinti munkacsoport már korábban megállapította, a jogalap csak arra 
vonatkozik, ami a szerződés teljesítéséhez szükséges.? Tehát mint ilyen nem vonatkozik 
automatikusan a nemteljesítés által előidézett további intézkedésekre, illetve a szerződés 
végrehajtásakor felmerülő egyéb eseményekre. Bizonyos lépések azonban észszerűen előre láthatók 
és szükségesek lehetnek a szokásos szerződéses kapcsolat keretében, például hivatalos emlékeztetők 
küldése a függőben lévő kifizetésekről, illetve a hibák vagy késedelmek orvoslása a szerződés 
teljesítése során. A 6. cikk (1) bekezdésének b) pontja vonatkozhat a személyes adatok olyan 
kezelésére, amely az ilyen lépésekhez kapcsolódóan szükséges. 








3. példa 


A vállalat online értékesít termékeket. Az ügyfelek kapcsolatba lépnek a vállalattal, mivel a megvásárolt 
termék színe eltér attól, amiben megállapodtak. Az ügyfél személyes adatainak e probléma orvoslása 
érdekében való kezelése a 6. cikk (1) bekezdésének b) pontján alapul. 





23 A 29. cikk szerinti munkacsoport 06/2014. számú véleménye az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű 
érdekeinek fogalmáról (WP217), 17-18. o. 
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39. 


40. 


41. 


42. 


43. 


44. 


A szerződéses szavatosság a szerződés teljesítésének részét képezheti, és így a szerződés teljesítéséhez 
szükséges lehet bizonyos adatok szavatosság érdekében meghatározott adatmegőrzési időre történő 
tárolására az áruk átadása/szolgáltatások/fizetés teljesítése után. 


2.6 A szerződés megszüntetése 


Az adatkezelőnek az adatkezelés megkezdése előtt meg kell határoznia a tervezett adatkezelési 
műveletek megfelelő jogalapját. Amennyiben egyes adatkezelési tevékenységek vagy valamennyi 
adatkezelési tevékenység alapja a 6. cikk (1) bekezdésének b) pontja, az adatkezelőnek meg kell 
állapítania, hogy mi történik, ha a szerződés megszűnik.” 


Amennyiben a személyes adatok kezelése a 6. cikk (1) bekezdésének b) pontján alapul, és a szerződés 
teljes egészében megszűnik, általános szabályként az ilyen adatok kezelése már nem szükséges e 
szerződés teljesítéséhez, és így az adatkezelőnek fel kell hagynia az adatkezeléssel. Előfordulhat, hogy 
az érintett személyes adatait szerződéses kapcsolat keretében szolgáltatta, bízva abban, hogy az 
adatokat csak e kapcsolat szükséges részeként kezelik. Ezért általában tisztességtelen új jogalapra 
áttérni, ha az eredeti jogalap már nem áll fenn. 


Ha a szerződés megszűnik, ez bizonyos mértékű adminisztrációt, például az áru visszaküldését vagy 
fizetést vonhat maga után. A kapcsolódó adatkezelés alapulhat a 6. cikk (1) bekezdésének b) pontján. 


A 17. cikk (1) bekezdésének a) pontja előírja, hogy a személyes adatokat törölni kell, ha már nincs 
szükség rájuk abból a célból, amely alapján gyűjtötték azokat. Ez azonban nem alkalmazandó, ha az 
adatkezelés bizonyos meghatározott célokra — többek között a 17. cikk (3) bekezdésének b) pontja 
szerinti kötelezettség teljesítéséhez, vagy a 17. cikk (3) bekezdésének e) pont szerinti jogi igények 
megalapozásához, érvényesítéséhez, illetve védelméhez — szükséges. A gyakorlatban, ha az 
adatkezelők jogi célokból általánosságban szükségesnek ítélik nyilvántartások vezetését, az 
adatkezelés kezdetekor meg kell jelölniük ennek jogalapját, és az elején egyértelműen közölniük kell, 
hogy a szerződés megszűnését követően e jogi célok érdekében meddig tartják nyilván az adatokat. Ha 
így járnak el, akkor a szerződés megszűnésekor nem kell törölniük az adatokat. 


Mindenesetre előfordulhat, hogy az adatkezelés kezdetekor több, eltérő céllal és jogalappal 
rendelkező adatkezelési műveletet határoztak meg. Mindaddig, amíg ezek a további adatkezelési 
műveletek jogszerűek, és az adatkezelő az adatkezelés megkezdésekor — az általános adatvédelmi 
rendelet átláthatósági kötelezettségeivel összhangban — egyértelmű tájékoztatást nyújt ezekről a 
műveletekről, a szerződés megszűnését követően továbbra is lehetőség lesz az érintettre vonatkozó 
személyes adatok e külön célokból történő kezelésére. 








4. példa 


Az online szolgáltatásként előfizetéses szolgáltatást nyújtanak, amely bármikor felmondható. A 
szolgáltatási szerződés megkötésekor az adatkezelő tájékoztatja az érintettet a személyes adatok 
kezeléséről. 


24Ha a szerződést a későbbiekben érvénytelenítik, az befolyásolja a további adatkezelés jogszerűségét (az 5. cikk (1) 
bekezdésének a) pontjában foglaltak szerint). Ez azonban nem jelenti automatikusan azt, hogy a 6. cikk (1) bekezdése b) 
pontjának jogalapul választása hibás volt. 
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46. 
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Az adatkezelő többek között kifejti, hogy amíg a szerződés érvényben van, a számlázás érdekében 
kezelni fogja a szolgáltatás igénybevételére vonatkozó adatokat. Az alkalmazandó jogalap a 6. cikk (1) 
bekezdésének b) pontja, mivel a számlázás céljából történő adatkezelés a szerződés teljesítéséhez 
objektíve szükségesnek tekinthető. Ha azonban a szerződés megszűnik, és feltételezve, hogy nincsenek 
az adatok megőrzésére vonatkozó függőben lévő, lényeges jogi igények vagy jogi követelmények, a 
használati előzmények törlésre kerülnek. 


Az adatkezelő ezen túlmenően tájékoztatja az érintetteket, hogy a nemzeti jog alapján jogszabályi 
kötelezettség terheli bizonyos személyes adatoknak számviteli célból, meghatározott számú évig 
történő megőrzésére. A megfelelő jogalap a 6. cikk (1) bekezdésének c) pontja, és az adatmegőrzésre 
akkoris sor kerül, ha a szerződés megszűnik. 





2.7 A szerződés megkötését megelőző lépések megtételéhez szükséges adatkezelés 


A 6. cikk (1) bekezdése b) pontjának második fordulata akkor alkalmazandó, amikor az adatkezelés a 
szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. Ez a 
rendelkezés azt tükrözi, hogy a szerződés tényleges megkötésének elősegítése érdekében a szerződés 
megkötése előtt szükség lehet a személyes adatok előzetes kezelésére. 


Az adatkezelés időpontjában nem biztos, hogy a szerződés megkötésére ténylegesen sor kerül-e. A 6. 
cikk (1) bekezdése b) pontjának második fordulata mindazonáltal mindaddig alkalmazható, amíg az 
érintett a szerződéskötés lehetőségének összefüggésében terjeszti elő kérését, és a szóban forgó 
adatkezelés szükséges a kért lépések megtételéhez. Ezzel összhangban, amennyiben az érintett felveszi 
a kapcsolatot az adatkezelővel, hogy tájékozódjon az adatkezelő szolgáltatási kínálatának részleteiről, 
az érintett személyes adatainak a megkeresésre történő válaszadás céljából történő kezelése alapulhat 
a 6. cikk (1) bekezdésének b) pontján. 


Ez a rendelkezés mindenesetre nem terjed ki a kizárólag az adatkezelő kezdeményezésére vagy 
harmadik fél kérésére végzett, kéretlen marketingre vagy egyéb adatkezelésre. 








5. példa 


Az érintett megadja az postai irányítószámát annak érdekében, hogy meggyőződjön arról, hogy egy 
adott szolgáltató a környékén nyújt-e szolgáltatást. Ez a 6. cikk (1) bekezdésének b) pontja alapján a 
szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges 
adatkezelésnek tekinthető. 











6. példa 


Egyes esetekben a pénzügyi intézmények kötelesek ügyfeleiket nemzeti jogszabályok alapján 
azonosítani. Ezzel összhangban az érintettekkel való szerződéskötés előtt a bank személyazonosító 
okmányaik bemutatását kéri. 


Ebben az esetben az azonosítás a bankot terhelő jogi kötelezettség, nem pedig az érintett kérésére 
történő lépések megtétele miatt szükséges. Ezért a megfelelő jogalap nem a 6. cikk (1) bekezdésének 
b) pontja, hanem a 6. cikk (1) bekezdésének c) pontja. 
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49. 


50. 


51. 


3 3. RÉSZ —A 6. CIKK (1) BEKEZDÉSE B) PONTJÁNAK 
ALKALMAZHATÓSÁGA MEGHATÁROZOTT HELYZETEKBEN 


3.1 Adatkezelés , szolgáltatás javítása" céljából? 


Az online szolgáltatások esetében gyakran részletes információkat gyűjtenek arról, hogy a felhasználók 
hogyan kerülnek kapcsolatba a szolgáltatásukkal. A legtöbb esetben a szolgáltatással kapcsolatos 
szervezeti mérőszámok vagy a felhasználói részvétel adatainak gyűjtése nem tekinthető olyannak, ami 
a szolgáltatás nyújtásához szükséges, mivel a szolgáltatás ilyen személyes adatok kezelése nélkül is 
nyújtható. Mindazonáltal előfordulhat, hogy a szolgáltató ezen adatkezelés érdekében alternatív 
jogalapokra — például jogos érdekre vagy hozzájárulásra — is hivatkozhat. 


Az Európai Adatvédelmi Testület megítélése szerint a 6. cikk (1) bekezdésének b) pontja általában véve 
nem tekinthető a szolgáltatás javítása vagy egy meglévő szolgáltatáson belüli új funkciók fejlesztése 
céljából végzett adatkezelés megfelelő jogalapjának. A legtöbb esetben a felhasználó egy meglévő 
szolgáltatás igénybevétele érdekében köt szerződést. Bár a szolgáltatás fejlesztésének és 
módosításának lehetőségét a szerződéses feltételek rutinszerűen rögzíthetik, az ilyen adatkezelés 
általában nem tekinthető objektíve szükségesnek a felhasználóval kötött szerződés teljesítéséhez. 


3.2 A,csalásmegelőzés" céljából végzett adatkezelés 


Amint azt a 29. cikk szerinti munkacsoport már korábban megjegyezte,?" a csalásmegelőzési célú 
adatkezelés az ügyfelek nyomon követését és profiljuk megalkotását is magában foglalhatja. Az 
Európai Adatvédelmi Testület véleménye szerint az ilyen adatkezelés valószínűleg túlmegy azon, ami 
objektíve szükséges az érintettel kötött szerződés teljesítéséhez. A személyes adatoknak a csalások 
megelőzése céljából feltétlenül szükséges kezelése azonban az adatkezelő jogos érdekének 
minősülhet?7, és ezért jogszerűnek tekinthető, ha az adatkezelő teljesíti a 6. cikk (1) bekezdésének f) 
pontjában meghatározott különleges követelményeket (jogos érdekek). Emellett a 6. cikk (1) 
bekezdésének c) pontja (jogi kötelezettség) az ilyen adatok kezelésének jogalapjául is szolgálhatna. 


3.3 Online viselkedés alapú hirdetések céljából végzett adatkezelés 


Az online viselkedés alapú hirdetéseket, a kapcsolódó nyomon követést és az érintettek profiljának 
meghatározását gyakran használják online szolgáltatások finanszírozására. A 29. cikk szerinti 
munkacsoport korábban már kifejtette álláspontját az ilyen jellegű adatkezeléssel kapcsolatban, 
amikor megállapította, hogy: 


[a szerződéshez való szükségesség] nem megfelelő jogalap a felhasználó ízlésére és életmódbeli 
döntéseire vonatkozó profil alkotásához egy weboldalhoz kapcsolódó böngészési története és 
az általa megvásárolt áruk alapján. Ennek oka, hogy az adatkezelővel nem profilalkotásra 


25 Az online szolgáltatásoknak a digitális tartalom szolgáltatására és a digitális szolgáltatások nyújtására irányuló szerződések 
egyes vonatkozásairól szóló, 2019. május 20-i (EU) 2019/770 európai parlamenti és tanácsi irányelvet (HLL 136., 2019.05.22., 
1. o.) is figyelembe kell venniük, amelyet 2022. január 1-jétől kell alkalmazni. 

26 A 29. cikk szerinti munkacsoport 06/2014. számú véleménye az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű 
érdekeinek fogalmáról (WP217), 17. oldal. 

27 Lásd a (47) preambulumbekezdés hatodik mondatát. 
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52. 


53. 


54. 


55. 


56. 


kötöttek szerződést, hanem például azért, hogy bizonyos árukat szállítson és szolgáltatásokat 
nyújtson." 


Személyes adatoknak viselkedés alapú hirdetés céljából történő kezelése főszabály szerint nem 
szükséges az online szolgáltatásokra vonatkozó szerződés teljesítéséhez. Általában nehéz lenne azzal 
érvelni, hogy a szerződést azért nem teljesítették, mert nem voltak viselkedés alapú hirdetések. Ezt 
még inkább alátámasztja az a tény, hogy az érintetteknek a 21. cikk alapján korlátlan joguk van ahhoz, 
hogy tiltakozzanak adataik közvetlen üzletszerzés érdekében történő kezelése ellen. 


Ezen túlmenően a 6. cikk (1) bekezdésének b) pontja nem biztosíthat jogalapot az online viselkedés 
alapú hirdetésekre pusztán azért, mert az ilyen reklám közvetve a szolgáltatás nyújtását finanszírozza. 
Bár az ilyen adatkezelés elősegítheti valamely szolgáltatás nyújtását, ez önmagában nem elegendő 
annak megállapításához, hogy az a szóban forgó szerződés teljesítéséhez szükséges. Az adatkezelőnek 
figyelembe kell vennie a 33. pontban említett tényezőket. 


Tekintettel arra, hogy az adatvédelem az Alapjogi Charta 8. cikkében biztosított alapvető jog, és 
figyelembe véve, hogy az általános adatvédelmi rendelet egyik fő célja, hogy az érintettek számára 
biztosítsa, hogy az őket érintő információkkal saját maguk rendelkezhessenek, a személyes adatok nem 
tekinthetők forgalomképes árucikkeknek. Még akkor is, ha az érintett hozzájárulhat a személyes 
adatok kezeléséhez,” e megállapodás révén nem mondhatnak le alapvető jogaikról.?? 


Az Európai Adatvédelmi Testület azt is megjegyzi, hogy az elektronikus hírközlési adatvédelem 
követelményeivel és a 29. cikk szerinti munkacsoport viselkedés alapú reklámozásról szóló korábbi 
véleményével?! összhangban, valamint a sütikhez való hozzájárulás megszerzésével kapcsolatos 
iránymutatást nyújtó 02/2013 sz. munkadokumentum ? szerint az adatkezelőknek előzetesen be kell 
szerezniük az érintettek hozzájárulását ahhoz, hogy elhelyezzék a viselkedés alapú hirdetési 
tevékenységben való részvételhez szükséges sütiket. 


Az Európai Adatvédelmi Testület azt is megjegyzi, hogy a nyomon követés és a felhasználók profiljának 
meghatározása a hasonló jellemzőkkel rendelkező egyének csoportjainak azonosítása érdekében 
végezhető, ami lehetővé teszi a hasonló közönségek részére történő célzott reklámozást. Nem 
végezhető ilyen adatkezelés a 6. cikk (1) bekezdésének b) pontja alapján, mivel nem állítható, hogy a 
felhasználóval kötött szerződés teljesítéséhez objektíve szükséges a felhasználók tulajdonságainak és 
magatartásának más személyeknek szóló reklámokkal kapcsolatos célokból történő nyomon követése 
és összehasonlítása. 


28 A 29. cikk szerinti munkacsoport 06/2014. számú véleménye az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű 
érdekeinek fogalmáról (WP217), 17. oldal. 

29 Lásd a digitális tartalom szolgáltatására és a digitális szolgáltatások nyújtására irányuló szerződések egyes vonatkozásairól 
szóló, 2019. május 20-i (EU) 2019/770 európai parlamenti és tanácsi irányelvet. 

30 Amellett, hogy a személyes adatok használatát az általános adatvédelmi rendelet szabályozza, további okai vannak annak, 
hogy a személyes adatok kezelése fogalmilag eltér a pénzbeli ellenérték kifizetésétől. Például a pénz megszámlálható, ami azt 
jelenti, hogy az árakat egy versengő piacon össze lehet hasonlítani, és pénzbeli kifizetést rendszerint csak az érintett 
bevonásával lehet teljesíteni. Emellett a személyes adatokat egyszerre több szolgáltatás is hasznosíthatja. Miután valamely 
személyes adat feletti rendelkezés elveszett, a rendelkezés nem feltétlenül szerezhető vissza. 

31 A 29. cikk szerinti munkacsoport 2/2010 számú véleménye az online viselkedés alapú reklámozásról (WP171). 

32 A 29. cikk szerinti munkacsoportnak a sütikhez való hozzájárulás megszerzésével kapcsolatos iránymutatására vonatkozó 
02/2013 sz. munkadokumentuma (WP208). 

33 A 29. cikk szerinti munkacsoport Európai Adatvédelmi Testület által jóváhagyott iránymutatása az automatizált 
döntéshozatallal és a profilalkotással kapcsolatban a 2016/679 rendelet alkalmazásához (wp251rev.01), 13 o. 
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3.4 A tartalom személyre szabása érdekében végzett adatkezelés?" 


Az Európai Adatvédelmi Testület elismeri, hogy a tartalom személyre szabása egyes online 
szolgáltatások lényegi és várt elemét alkothatja (de nem minden esetben), és ezért bizonyos esetekben 
az szükséges lehet a szolgáltatás igénybevevőjével kötött szerződés teljesítéséhez. Az, hogy az ilyen 
adatkezelés az online szolgáltatás szerves részének tekinthető-e, a nyújtott szolgáltatás jellegétől, az 
átlagos érintett nem csak a szolgáltatás feltételeinek, hanem a szolgáltatás felhasználók számára 
történő reklámozásának módjával kapcsolatos elvárásaitól, valamint attól is függ, hogy a szolgáltatás 
személyre szabás nélkül is nyújtható-e. Amennyiben a tartalom személyre szabása objektíve nem 
szükséges az alapul szolgáló szerződés céljához, például ha a személyre szabott tartalom célba juttatása 
a felhasználó szolgáltatás iránti elköteleződésének erősítésére irányul, azonban az nem kapcsolódik 
szervesen a szolgáltatás igénybevételéhez, az adatkezelőknek adott esetben más jogalapot kell 
figyelembe venniük. 








7. példa 


Egy szállodákkal kapcsolatos online keresőmotor nyomon követi a felhasználók korábbi foglalásait 
annak érdekében, hogy jellemző kiadásaikra vonatkozó profilt alkosson. Ezt a profilt ezt követően arra 
használják, hogy a keresési eredmények megadása során bizonyos szállodákat ajánljanak a 
felhasználónak. Ebben az esetben a felhasználó múltbeli magatartására vagy pénzügyi adataira 
vonatkozó profil megalkotása nem lenne objektív módon szükséges a szerződés teljesítéséhez, azaz a 
felhasználó által megadott konkrét keresési szempontokon alapuló vendéglátási szolgáltatások 
nyújtásához. Ezért a 6. cikk (1) bekezdésének b) pontja nem alkalmazható erre az adatkezelési 
tevékenységre. 











8. példa 


Az online piactér lehetővé teszi a potenciális vásárlók számára, hogy böngésszenek a termékek között, 
és megvásárolják azokat. A piactér a lehetséges vevők által korábban a platformon megtekintett 
ajánlatok alapján az interaktivitás növelése érdekében személyre szabott termékjavaslatokat kíván 
megjeleníteni. Ez a személyre szabás objektíve nem szükséges a piactéri szolgáltatás nyújtásához. Így 
a személyes adatok ilyen kezelésekor nem lehet jogalapként a 6. cikk (1) bekezdésének b) pontjára 
támaszkodni. 





34 Az online szolgáltatásoknak a digitális tartalom szolgáltatására és a digitális szolgáltatások nyújtására irányuló szerződések 
egyes vonatkozásairól szóló, 2019. május 20-i (EU) 2019/770 európai parlamenti és tanácsi irányelvet (HLL 136., 2019.05.22., 
1. o.) is figyelembe kell venniük, amelyet 2022. január 1-jétől kell alkalmazni. 
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